Das Apache LDAP Modul
Allgemeines
Das Apache-Modul mod_auth_ldap ermöglicht die Benutzerauthentifizierung von Webserver-Verzeichnissen gegen einen LDAP-basierten Verzeichnisdienst. An der TUHH erfolgt die Authentifizierung mittels Ihres vom RZ vergebenen TUHH Benutzernamens und zugehörigem Kerberos-Passwort. Die Verbindung zum LDAP-Server ist nur verschlüsselt möglich.
LDAP-Server: ldap.rz.tu-harburg.de
Port: 636
Protokoll: ldaps
Für alle Beispiele dieses Artikels gilt:
- Der Wert der Direktive AuthType (== Basic) ist im Webserver konfiguriert und damit vorgegeben.
- Die Direktive AuthName legt den Namen des Autorisierungsbereiches fest und kann frei gewählt werden.
- Die Direktive AuthLDAPURL spezifiziert die URL des TUHH LDAP-Servers und die Suchparameter.
- Für den Webserver Apache 2.2.x ist eine weitere Direktive notwendig: AuthBasicProvider ldap
Beispiele
Die Nutzung der LDAP-Benutzerauthentifizierung wird an einigen Beispielen erläutert. Schreiben Sie die nachfolgenden Direktiven (grau hinterlegt) in die Datei .htaccess des Basisverzeichnisses der Website, die geschützt werden soll.Beispiel 1: ein bestimmter Benutzer kann sich freischalten
Inhalt von .htaccess:
AuthType Basic AuthBasicProvider ldap AuthName "LDAP protected Site" AuthLDAPURL ldaps://ldap.rz.tu-harburg.de:636/ou=People,dc=tu-harburg,dc=de Require user username1
Die Direktive "Require ...." bewirkt, dass der Benutzer mit dem TUHH-Account "username1" nach erfolgreicher Authentifizierung auf die geschützten Webdokumente zugreifen kann.
Beispiel 2: alle Mitglieder der TUHH können sich freischalten
Inhalt von .htaccess:
AuthType Basic AuthBasicProvider ldap AuthName "LDAP protected Site" AuthLDAPURL ldaps://ldap.rz.tu-harburg.de:636/ou=People,dc=tu-harburg,dc=de Require valid-user
Die Direktive "Require valid-user" bewirkt, dass alle Mitglieder der TUHH mit ihrem TUHH-Account nach erfolgreicher Authentifizierung auf die geschützten Webdokumente zugreifen können.
Beispiel 3: eine festgelegte Benutzergruppe kann sich freischalten
Inhalt von .htaccess:
AuthType Basic AuthBasicProvider ldap AuthName "LDAP protected Site" AuthLDAPURL ldaps://ldap.rz.tu-harburg.de:636/ou=People,dc=tu-harburg,dc=de AuthGroupFile .htGroupFile Require group myGroup
Inhalt von .htGroupFile:
myGroup: \ username1 \ username2 \ username3 \ username4
- Die Direktive AuthGroupFile legt den Namen einer Datei fest, in der eine oder mehrere Benutzergruppen definiert werden.
- Die Direktive "Require Group myGroup" bewirkt, dass alle Mitglieder der in der Datei ".htGroupFile" definierten Gruppe "myGroup" mit ihrem TUHH-Account und zugehörigem Passwort nach erfolgreicher Authentifizierung auf die geschützte Website zugreifen können.
Zugriffsschutz zum Instituts-Intranet
Das Apache LDAP-Modul bietet einfache Möglichkeiten, Webbereiche nur für Angehörige einer Organisationseinheit, z.B. eines Instituts oder eines Servicebereichs, zugänglich zu machen. Dies wird am Beispiel erläutert.Beispiel: alle Mitglieder einer Organisationseinheit können sich freischalten
Inhalt von .htaccess:
AuthType Basic AuthBasicProvider ldap AuthName "RZ Intranet" AuthLDAPURL ldaps://ldap.rz.tu-harburg.de:636/ou=RZ,ou=Organization,dc=tu-harburg,dc=de Require valid-user
Die Direktive "Require valid-user" bewirkt, dass alle Mitglieder der TUHH, die zur Organisationseinheit RZ (Rechenzentrum) gehören, mit ihrem TUHH-Account nach erfolgreicher Authentifizierung auf die so geschützten Webdokumente zugreifen können.